一直以来,安卓系统的碎片化都是Google心中会呼吸的痛。不但系统升级成了老大难,如何推送安全补丁也让Google挠头,毕竟数十家制造商、数百家运营商和数千款设备排列组合起来可不是个小数目。
如果你是安卓发烧友,肯定会了解一个残酷的现实,那就是许多小厂商的安全补丁推送不太及时。
不过这还不是最可怕的,因为一家德国安全公司对数百款安卓手机进行了一番研究后却发现,一些安卓厂商不但推迟推送安全补丁,还干脆向用户撒谎,假装自己推了安全补丁。
在安全补丁的问题上,弄虚作假居然成了行业潜规则?
周五在阿姆斯特丹举办的Hack in the Box安全大会上,来自安全研究实验室(SRL)的研究者Karsten Nohl和Jakob Lell计划公布一个惊人的结果。
据雷锋网了解,他们俩在过去两年里对大量安卓手机的操作系统代码进行了逆向工程,为的是查证这些设备是否像厂商承诺的一样打上了安全补丁。这一查不要紧,两位研究人员居然发现了巨大的“补丁鸿沟”。
举例来说,许多厂商告诉用户,它们已经按时间完成了安卓系统的安全更新,但事实上它们只是嘴上说说来安慰用户,其实什么都没做。
也就是说,用户只是吃了安慰剂,一旦被黑客盯上,还是会非死即伤。
“我们发现,现在的厂商们都是嘴炮打得好,真到需要打安全补丁时它们就消失了。”Nohl说道,“有时候这些家伙连补丁描述都懒得改,只是换了个日期就算完事。也许这是为了市场宣传?反正它们只是任意设置个更新日期,怎么好看怎么来。”
“补丁鸿沟”
SRL一共测试了1200台手机的固件,它们来自数十家手机制造商,其中不但有Google的亲儿子,还有三星、摩托、HTC等知名巨头。当然,也有来自中国的中兴和TCL。
测试结果显示,除了Google自家旗舰Pixel和Pixel 2按部就班地更新了安全补丁,其它厂商都学会了偷奸耍滑,而体量较小的小众厂商,安全更新更是一本读不下去的烂账。
Nohl指出,以前大家可能觉得厂商会抛弃自家的老产品,但事实上它们连新产品也不管不顾了,而且谎话一个比一个说的溜,用户没享受到服务,只得到了一个纸糊的安全护盾。
“在研究中我们还真发现了没进行过一次安全更新的厂商,不过它们改日期的水平可不低,这已经算得上是蓄意欺骗了。”
如果说一些小厂商已经丧心病狂的话,那么国际大厂们还算良心未泯,类似三星或索尼这样的厂商只是会偶然漏掉一两个小补丁。不过,Nohl也发现了一些前后矛盾的奇怪之处。
举例来说,2016年的三星J5会一五一十的告诉用户到底更新了哪些补丁,还有哪些未更新,而同年的三星J3却补丁全满,但事实上三星漏推了12个补丁包。
同一家厂商都能出这么多幺蛾子,真是不可思议,对普通用户来说根本无法分辨。好在这次SRL做了次业界良心,在它们的安卓应用Snoop Snitch上你就能查到自己是不是被厂商忽悠了。
廉价机型是重灾区
在完成了全部测试后,SRL专门制作了图表(下图),它们将制造商分为三个类别,评判标准就是它们2017年(10月及之后收到至少一个安全推送)修补漏洞的诚实指数。
表现最好的是Google、索尼、三星和WIKO,小米、一加和诺基亚则排在第二梯队,表现最不好的就是中兴和TCL,它们都宣称完成了4次以上的安全更新,但其实是说了假话。
先别忙着在自己的购机愿望清单上划掉第三和第四梯队的品牌啊,因为SRL指出,漏打补丁可能也有芯片供应商的锅。
它们发现,搭载联发科芯片的手机平均会漏过9.7个补丁(如下图),而用了三星芯片的产品则最安全,排在第二和第三的高通和海思也比联发科安全得多。
其实从这个角度也能得出一个结论,那就是低端手机确实不够安全,钱没花到位就会掉进一个年久失修的坑人生态。
《连线》专门就这份研究结果联系了Google,搜索巨头先是对SRL的工作表示了赞赏,而后话锋一转称它们研究的一些机型其实根本没得到安卓认证,也就是说它们根本无法达到Google的安全标准。
同时,Google还指出,现代的安卓手机安全功能足够强大,它们为用户搭建了很多层防护网,即使不打补丁也很难被黑客攻破。
此外,Google认为一些厂商直接用移除漏洞功能的方式来替代安全更新,而且别忘了,一些低端机可能本来就没有需要打补丁的功能。
Nohl也对Google的评论做了回应,他认为Google为厂商们找的借口太牵强,那种情况发生的几率太低了。
想黑掉安卓并不容易
不过,Nohl并没有对Google穷追猛打,相反他认为借着漏打的补丁黑进安卓系统其实并不容易。即使买到放飞自我厂商的机型,用户也能受到安卓平台的庇护。
举例来说,安卓4.0之后,Google就引入了随机定位布局的解决方案,应用在内存上的位置是随机的,恶意软件对手机进行完美入侵。此外,别忘了安卓还有强大的沙盒机制,即使遭到入侵,病毒也会被困住而无法扩散。
这就意味着,除非一台手机漏洞多到不计其数,否则黑客很难完全取得手机的控制权。
Nohl指出,对安卓系统进行正面强攻太难了,因此网络罪犯门玩起了旁敲侧击。他们把人的心理研究的透透的,只用一些能占小便宜的免费或盗版软件,就能轻松在受害者手机中植入恶意软件。
同时,Nohl也提醒大家,有背景的黑客集团们可不玩小花招,他们大多会直接利用零日漏洞(可攻破且没有补丁防护的秘密漏洞)发动攻击。当然,有时他们也会采用混合攻击方案,零日漏洞和普通漏洞一起用。
在防御黑客上,Nohl认为战争理论中的“纵深防御”最有效,虽说安卓系统并不容易攻破,但你每少打一个补丁,可能就会少一层防御,给自己挖坑的事还是不作为好。
恩威并施的“保姆”Google
Google为了安全补丁可谓操碎了心,几乎就差把饭喂进手机厂商的嘴里。
不过,因为复杂的市场环境、利益关系以及自身能力,手机厂商们对于Google主动提供的安全补丁反倒情绪复杂,有人无所谓有人很积极,甚至有些干脆选择性遗忘。
2017年5月5日德国安全厂商GDATA公布的报告显示,2017年第一季度出现了75万个新的安卓病毒,势头略有减缓,但全年下来预计会超过350万个,再创新高。
DATA指出,Google越来越重视安卓系统的安全,每个月都会推送安全补丁,但最大问题在于各厂商的跟进速度太慢。
也正是如此,Google恩威并施,为推动OEM厂商对安卓安全补丁进行及时更新,开始对安全补丁的更新状态进行晾晒。在Google的计划中,2017年会联合运营商对OEM厂商进行督促施压。
但显然,不装鸵鸟的第三方手机厂商开始出现瞒天过海的勾当。
在知乎“为何许多安卓厂商不重视安全补丁的更新?”问题下,看到了几个匿名用户的回答:
- 实际上,联想、戴尔、惠普也不会帮你做系统安全更新的;
- 因为安全更新不是这些公司制造的,所以这些安全更新是否存在问题,他们没法负责,要么自己投入人力物力去测试验证,要么就跳过。;
- 你看各安卓厂商推自己的UI更新还是比较积极的,毕竟这是自己做的自己测的,心里有底啊;
- 归根结底,如果厂商给你推更新,出什么问题都是厂商负责。此时google反而是第三方厂商了,他们提供的更新当然不在首要考虑;
- 当论坛发布了安卓版本更新的贴,会有一大群人高潮;
- 当论坛发布了UI版本更新的贴,会有一群人炸锅;
- 当论坛发布了安全补丁更新的贴,会有一些人刷积分;
其实很多人都不知道安全补丁有何用,当然不闻不问。
Windows是授权收费的,厂商用Android可没交钱,不过上游代码是有安全Patch的,厂商完全有能力测试发更新,不负责任而已。
2016年底,安卓安全主管Adrian Ludwig曾在O'Reilly安全大会上公开表达,在安全性上,安卓手机和iPhone“几乎是一模一样的”。
但如今看来,这句话是有条件的。